This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Kawamashi

[Tuto] Reverse Proxy

Messages recommandés

Le 27/04/2018 à 19:51, alcyon a dit :

Bonjour,

Petite remarque concernant les redirections des services source en HTTPS vers leur destination en HTTP. 

Pas de problème sur les applis Synology (note, drive, etc).

Néanmoins, avec les navigateurs récent, la résolution est bloqué avec une jolie erreur ERR_TOO_MANY_REDIRECTS ... je n'ai pas trouvé de solution pour le moment.

Donc pour le moment je garde le reverse proxy en redirigeant les HTTPS => HTTPS ...

Donc si  @Mic13710 et toi @Kawamashi avait une solution je suis preneur 🙂

Bon week-end.

Je rencontre exactement ce souci , @alcyon as-tu trouvé une solution, ou l'origine du problème ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Je pense que le problème vient de la redirection http vers https.

Si le https est redirigé par le reverse proxy vers un port http, avec la redirection activée il y a à nouveau une redirection http vers https. Peut-être que certains navigateurs le refusent à cause de la double certification.

Je n'ai pas ce genre de problème car je n'ai pas activé la redirection http vers https.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir à tous 😉,

Alors, comme indiqué dans ma présentation, après avoir suivi le tuto de Zeus"Débuter avec un NAS Synology", puis le tuto de @unPixel  Pourquoi-et-comment-utiliser-un-nom-de-domaine ..... me voici ici!

J'ai hâte que tout soit fini mais j'essaye de ne pas brûler les étapes 😅, dans touts les cas je suis toujours aussi blonde et je découvre un monde qui m'est totalement étranger , alors ne m'en voulez pas pour mes questions. Après avoir parcouru 14 pages de réponses sur ce tuto de "reverse proxy" j'abandonne pour trouver MA réponse toute seule, je me rends compte que je ne comprends pas le langage commun et surtout je me rends bien compte que les problèmes sont spécifiques à chaque installation et quelle misère pour vous .... tout est vraiment très personnel au niveau des demandes.

Mes questions vont malgré tout rester simples 😀 enfin d'après tout ce que j'ai pu lire ....

 

Alors, concernant la partie "V. Configuration du portail des applications de DSM":

  • "Ports HTTP définits":
  • image.thumb.png.ca98fcb7772610f3109a2739c6a66733.png
  •  
  • "Après cette étape, si on tape IP_locale_du_NAS:45000, on ouvre directement Audio Station"  ==> ça fonctionne

 

  • "Définir le reverse proxy à proprement parler, à savoir faire correspondre les différents sous-domaines avec les différentes applications"   
  • image.thumb.png.b77bf92a7ad943f7d68af55da514b3b6.png

 

  • tous renseignés comme  ça

image.thumb.png.9b719b440115ca3ac04102ba364f015b.png

 

  • "Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre:"

 

  • voilà par contre ce que j'obtiens ....

image.png.075caa0edf4d3597b5d2a4416930fb48.png

 

Alors du coup je n'ose pas passer à l'étape:

  • "VI. Obtention du certificat SSL pour le domaine et ses sous-domaines"

Bref avant d'aller plus loin j'imagine que j'ai du faire un erreur quelque part mais où? j'ai recommencé plusieurs fois les étapes avec le même résultat 😓

 

Merci d'avance pour votre aide ...

 

image.png

image.png

image.png

Modifié par Taolinou

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

Citation

Alors, comme indiqué dans ma présentation, après avoir suivi le tuto de Zeus"Débuter avec un NAS Synology", puis le tuto de @unPixel

Nous sommes la même personne 😂

Citation
  • "Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre:"

Tu as un certificat SSL Let's Encrypt ou d'une autre autorité faisant foi et étant accepté par ton navigateur ?

Ahhh, en lisant la suite, je vois que tu t'es arrêté avant cette étape.

Par contre, je vois peut-être un soucis. Tu parles de domaine type : https://music.ndd.tld or je vois plutôt quelque chose comme : https://music.xxx.ndd.tld

Qu'en est-il réellement ?

Si tu le souhaites, tu peux m'envoyer une capture d'écran en clair avec tes domaines en MP que je vois si soucis ou pas.

Modifié par unPixel

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut à nouveau.

Je reviens avec mon problème. Car j'ai pas de réponse.

J'utilise openvpn.

Pour ce qui est du reverse proxy c'est galère.

Mon NAS avec Reverse proxy est sur 192.168.1.111

Dans mes DNS Server de chaque côter c'est comme ceci.

 

ns1.ndd.com 192.168.1.111(NAS Réseau 1)

ns2.ndd.com 192.168.0.1(Router Réseau2)

router.ndd.com 192.168.1.1(Router Réseau 1 - Serveur VPN)

maison.ndd.com (Router Réseau 2 - Client VPN)

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 2)

Jusqu'ici pas de problème. Depuis l'extérieur de ces 2 réseaux. Les gens ce connectent.

Mais c'est sur les 2 réseaux en local ou sa foire méchant.

Si depuis Reseau 1 ou 2 je veux me connecter sur router.ndd.com 192.168.1.1, j'ai une erreur 443. 

curl -v https://router.ndd.com

* Failed to connect to router.ndd.com port 443: Connection refused

curl: (7) Failed to connect to router.ndd.com port 443: Connection refused

nslookup router.ndd.com ne me donne correctement l'adresse.

 

nslookup router.ndd.com 192.168.1.111

Server:    192.168.1.111

Address 1: 192.168.1.111

Name:      router.ndd.com

Address 1: 192.168.1.1

 

nslookup router.ndd.com 192.168.0.1

Server:    192.168.0.1

Address 1: 192.168.0.1

Name:      router.ndd.com

Address 1: 192.168.1.1

La seul solution pour que cela puisse fonctionner correctement c'est modifier toutes les ip que n'ont pas de services sur 192.168.1.111 dans les DNS SERVER.

exemple :

router.ndd.com 192.168.1.111(l'ip réel est 192.168.1.1)

hub.ndd.com 192.168.1.111(l'ip réel est 192.168.1.11)

camera.ndd.com 192.168.1.111(l'ip réel est 192.168.1.101)

nas.ndd.com 192.168.1.111

download.ndd.com 192.168.1.111

localhost.ndd.com 192.168.1.111

Donc qu'est-ce qui me*de en local pour avoir cette erreur 443?

Merci......

 

 

 

Modifié par Superthx
corrrection nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 7 heures, Superthx a dit :

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)

Pourquoi deux fois le même enregistrement ?

Sinon pour le problème avec ton routeur en l'état avec tes explications je ne vois pas de rapport avec le proxy inversé. Tu définis un enregistrement de type A pointant router.ndd.com vers l'IP de ton routeur (réseau 1). Si ton routeur expose son interface d'administration sur le port 443, que le domaine/sous-domaine est bien enregistré auprès de Let's Encrypt ça devrait marcher.

SI c'est par proxy inversé que tu veux y accéder, alors c'est différent.
Tu veux d'une part que ton routeur soit accessible aux autres périphériques, via son nom de domaine, donc tu gardes ton enregistrement de type A router.ndd.com -> 192.168.1.1
Ça c'est simplement ton DNS local qui l'impose, le proxy inversé n'intervient pas.
Au delà de ça, tu veux qu'un service qu'il expose, j'imagine son interface d'administration, soit accessible via le proxy inversé.
Dans ce cas-là il faut que la requête soit redirigée vers le proxy inversé, tu le fais au moyen d'un enregistrement CNAME router.ndd.com -> ns1.ndd.com, c'est ensuite le proxy inversé qui va rediriger de manière transparente vers 192.168.1.1:80 (80 par exemple, il s'agit du port HTTP sur lequel est exposé la webUI du routeur).

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a une heure, shadowking a dit :

Pourquoi deux fois le même enregistrement ?

erreur, c'est nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 2)

il y a une heure, shadowking a dit :

Si ton routeur expose son interface d'administration sur le port 443, que le domaine/sous-domaine est bien enregistré auprès de Let's Encrypt ça devrait marcher.

Oui. Cela marche correctement.

il y a une heure, shadowking a dit :

Tu veux d'une part que ton routeur soit accessible aux autres périphériques, via son nom de domaine, donc tu gardes ton enregistrement de type A router.ndd.com -> 192.168.1.1

Oui c'est logique. C'est mieux pour trouver ses appareils.

il y a une heure, shadowking a dit :

Au delà de ça, tu veux qu'un service qu'il expose, j'imagine son interface d'administration, soit accessible via le proxy inversé.
Dans ce cas-là il faut que la requête soit redirigée vers le proxy inversé, tu le fais au moyen d'un enregistrement CNAME router.ndd.com -> ns1.ndd.com, c'est ensuite le proxy inversé qui va rediriger de manière transparente vers 192.168.1.1:80 (80 par exemple, il s'agit du port HTTP sur lequel est exposé la webUI du routeur).

Alors c'est lá que je comprends pas......

si j'ai comme enregistrement:

router.ndd.com A 192.168.1.1

impossible d'ajouter dans la zone DNS

router.ndd.com CNAME ns1.ndd.com

J'ai une erreur le FQDN de CNAME et d'autres enregistrements ne peuvent pas etre identiques.

Donc ou je choisi de rediriger sur router.ndd.com sur son ip reel et je le retrouve sur le reseau (ping, etc...) ou j'oublie et je met sur 192.168.1.111 pour avoir acces à mes services web en mettant 192.168.1.111. Que cela soit A ou CNAME il faut choisir une IP.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Tu ne peux pas utiliser les mêmes sous-domaines pour l'enregistrement A et CNAME. Sinon évidemment il ne sait pas quoi faire car pour un même sous-domaine il a deux choix possibles.

Donc pour gérer ton routeur tu peux faire, par exemple, admrouter.ndd.com CNAME ns1.ndd.com

Et laisser router.ndd.com A 192.168.1.1

Ton proxy inversé permet d'accéder à un service d'un hôte particulier.

Tandis que le DNS définit un nom d'hôte, il faut bien voir la différence entre les 2.

Partager ce message


Lien à poster
Partager sur d’autres sites
à l’instant, shadowking a dit :

Donc pour gérer ton routeur tu peux faire, par exemple, admrouter.ndd.com CNAME ns1.ndd.com

Et laisser router.ndd.com A 192.168.1.1

Ton proxy inversé permet d'accéder à un service d'un hôte particulier.

Tandis que le DNS définit un nom d'hôte, il faut bien voir la différence entre les 2.

Oui. C'est bien ce que je pensais faire. Dommage que l'on puisse pas faire autrement. Merci.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 11 heures, unPixel a dit :

Bonsoir,

Nous sommes la même personne 😂

Tu as un certificat SSL Let's Encrypt ou d'une autre autorité faisant foi et étant accepté par ton navigateur ?

Ahhh, en lisant la suite, je vois que tu t'es arrêté avant cette étape.

Par contre, je vois peut-être un soucis. Tu parles de domaine type : https://music.ndd.tld or je vois plutôt quelque chose comme : https://music.xxx.ndd.tld

Qu'en est-il réellement ?

Si tu le souhaites, tu peux m'envoyer une capture d'écran en clair avec tes domaines en MP que je vois si soucis ou pas.

Bonjour,

C'est envoyé 😉

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Merci pour cet excellent tuto.

Avant d'aller plus loin, ma config:

  • FAI orange avec IP dynamique
  • NDD OVH
  • Livebox configurée en DMZ vers le routeur
  • Routeur/FW qui bloque presque tout
  • NAS DS1515+ avec DSM 6.2.2-24922 Update 3
  • Certificat Let's Encrypt obtenu pour ndd.fr ainsi que tous les sous-domaines.

Tout fonctionne presque bien: j'accède aux différents services configurés via les règles de reverse proxy, mais uniquement si je passe par un VPN (HMA pour ne pas le nommer). Sans VPN, j'ai la fameuse page "risque probable de sécurité". Dans Avancé/afficher le certificat, je vois qu'il s'agit du certificat de la Livebox ...🤔, et ça pour tous les sous-domaines.

Donc sans VPN , le navigateur internet se voit proposer le certificat de la livebox, avec VPN, celui du NAS ...

Je précise que je n'ai pas de VPN entre mon domicile et mes équipements, juste un sur mon portable qui me permet d'accéder à différents services (banque, ...) quand je suis à l'étranger (je choisi une IP en France)

Comment cela est-il possible ? J'ai sûrement du louper quelque chose, mais cela fait trois jours que je bloque la dessus

Modifié par mchelmi
précision sur les certificats

Partager ce message


Lien à poster
Partager sur d’autres sites

Auto-reponse:

Il s'agit d'un problème d'interface chaise-clavier 😅. Ndd.fr ne peut marcher en local (sauf DNS perso). Et habitant dans une zone blanche, mon mobile utilise le WiFi... Ça tourne en boucle ! 

Donc tout fonctionne à la perfection, tuto génial 👌

Ceci étant, si les modos souhaitent supprimer ce post histoire de pas polluer, je ne le prendrai pas mal.. 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Merci pour ce super tuto.

Je ne comprends pas : " L'option de redirection présente dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM n'est pas envisageable car elle casse le mécanisme du reverse proxy. "

en quoi cela "casse" le mécansime du reverse proxy ? En effet si j'active cette option cela fonctionne bien chez moi.

Merci.

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello !

Merci pour ce tuto qui m'a permis de désactiver QuickConnect. 🙂

Il est possible d'ajouter les 2 IP de Let's Encrypt dans la règle de la box, ce qui sécurise encore plus le port 80. La possibilité existe sur Livebox et Freebox.
Le Synology sera alors un peu moins sollicité !

Modifié par BruceFeuillette

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement